La sécurité informatique : enjeux et perspectives
Transcription
La sécurité informatique : enjeux et perspectives
Mourad LOUKAM – Département d’Informatique-UHBC/Chlef La sécurité informatique : enjeux et perspectives INFØDays’2010, UHBC/Chlef, 13 Avril 2010 1 2 Pour commencer Cas du quotidien EChourouk Mourad LOUKAM, 13 Avril 2010 3 Pour commencer Cas de la DGRS Mourad LOUKAM, 13 Avril 2010 4 Pourquoi faut-il + de sécurité informatique ? Développement d’internet et Informatique nomade de plus en plus d‘organismes ouvrent leur systèmes d'informations à leurs partenaires (fournisseurs , clients, …) il est donc essentiel de connaître les ressources de l'entreprise à protéger et de maîtriser le contrôle d'accès et les droits des utilisateurs du système d'information Mourad LOUKAM, 13 Avril 2010 5 Quelques concepts La menace (threat) : toute action susceptible de nuire. La vulnérabilité (vulnerability ) : représente le niveau d'exposition face à la menace. La contre-mesure : représente l’ensemble des actions mises en œuvre en prévention de la menace. Mourad LOUKAM, 13 Avril 2010 6 Quelques concepts Menace x Vulnérabilité Risque = Contre-mesure Le risque augmente lorsque les contre-mesures diminuent (sont insuffisantes) Mourad LOUKAM, 13 Avril 2010 7 Objectifs de la sécurité informatique L'intégrité, c'est-à-dire garantir que les données sont bien celles que l'on croit être ; La confidentialité, consistant à assurer que seules les personnes autorisées aient accès aux ressources échangées ; La disponibilité, permettant de maintenir le bon fonctionnement du système d'information ; La non répudiation, permettant de garantir qu'une transaction ne peut être niée ; L'authentification, consistant à assurer que seules les personnes autorisées aient accès aux ressources. Mourad LOUKAM, 13 Avril 2010 La sécurité informatique, n’est pas qu’un mot de passe ! Il est inutile de blinder la porte alors que les fenêtres sont ouvertes ! Il est nécessaire d’entreprendre la sécurité informatique dans un cadre global : il faut une politique se sécurité Mourad LOUKAM, 13 Avril 2010 8 9 La politique de sécurité La politique de sécurité est l'ensemble des orientations suivies par une organisation en terme de sécurité Elle se doit d'être élaborée au niveau de la direction de l'organisation concernée, car elle concerne tous les utilisateurs du système Mourad LOUKAM, 13 Avril 2010 10 Mise en place d’une politique de sécurité : 1/ Identifier les besoins en terme de sécurité, les risques informatiques pesant sur l'entreprise et leurs éventuelles conséquences ; 2/ Elaborer des règles et des procédures à mettre en oeuvre dans les différents services de l'organisation pour les risques identifiés ; 3/ Surveiller et détecter les vulnérabilités du système d'information et se tenir informé des failles sur les applications et matériels utilisés ; 4/ Définir les actions à entreprendre et les personnes à contacter en cas de détection d'une menace ; Mourad LOUKAM, 13 Avril 2010 11 Mise en place d’une politique de sécurité : Analyse des besoins : faire l’inventaire •Personnes et fonctions ; •Matériels, serveurs et les services qu'ils délivrent ; •Cartographie du réseau (plan d'adressage, topologie physique, topologie logique, etc.) ; •Liste des noms de domaine de l'entreprise ; •Infrastructure de communication (routeurs, commutateurs, etc.) •Données sensible Mourad LOUKAM, 13 Avril 2010 12 Mise en place d’une politique de sécurité : Analyse des risques : Répertorier les risques possibles, estimer leur probabilité et leur coût (dommages). Exemple d’échelle : •Sans objet (ou improbable) : la menace n'a pas lieu d'être ; •Faible : la menace a peu de chance de se produire ; •Moyenne : la menace est réelle ; •Haute : la menace a de grandes chances de se produire. Mourad LOUKAM, 13 Avril 2010 13 Quelques Méthodes : 1. MARION (Méthodologie d'Analyse de Risques Informatiques Orientée par Niveaux); 2. MEHARI (MEthode Harmonisée d'Analyse de RIsques) ; https://www.clusif.asso.fr/fr/production/mehari/ 3. EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité), mise au point par la DCSSI (Direction Centrale de la Sécurité des Systèmes d'Information) ; http://www.ssi.gouv.fr/fr/confiance/ebios.html 4. La norme ISO 17799. Mourad LOUKAM, 13 Avril 2010 14 La norme ISO 17799 Norme concernant « la sécurité de l’information », publiée en 2000 par ISO, (mise à jour en 2005). Mourad LOUKAM, 13 Avril 2010 15 Aspects techniques Les principaux dispositifs permettant de sécuriser un système d’informations Les antivirus Les pare-feu Les algorithmes cryptographiques Les VPN (tunnels sécurisés) … Les méthodes biométriques Mourad LOUKAM, 13 Avril 2010 Aspects techniques 16 Les méthodes biométriques Mourad LOUKAM, 13 Avril 2010 17 Conclusion •Nécessité de la mise en place d’une politique de sécurité •Se conformer aux normes de sécurité •… •Introduire la « sécurité informatique » dans le cursus de formation des informaticiens Mourad LOUKAM, 13 Avril 2010 18 Liens utiles MEHARI (MEthode Harmonisée d'Analyse de RIsques) ; https://www.clusif.asso.fr/fr/production/mehari/ EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité), mise au point par la DCSSI (Direction Centrale de la Sécurité des Systèmes d'Information) ; http://www.ssi.gouv.fr/fr/confiance/ebios.html Mourad LOUKAM, 13 Avril 2010 19 Merci ! Mourad LOUKAM, 13 Avril 2010